Paramétrage Fiewall protocole ICMP

Steph a écrit(wrote):

Bonjour,

Bonjour,

Je dispose dorénavant d'un petit réseau (192.168.0.*, adressage fixe)
constitué d'un routeur WiFi derrière la Freebox en mode non routeur,
d'un ordi relié au routeur en Ethernet et d'un portable en WiFi, les 2
sous XPPro.

Dans les logs de mon FW (Outpost), je vois du trafic ICMP et je voudrais
autoriser juste ce qu'il faut. Avant ce réseau (ordi seul derrière
Freebox non routeur), j'avais autorisé seulement:
Type 0 en IN
Type 3 en IN & OUT
Type 8 en OUT
Type 11 en IN

Pour le type 3 en OUT, logiquement comme tu feras forcément de la NAT,
ce serait plutôt au routeur de renvoyer le bon message de type 3. Je
mettrais plutôt le type 3 qu'en entrée.
De plus, si le firewall est à état, tous les types entrant doivent
correspondre à un flux sortant, mais je ne connais pas Outpost donc je
ne peux rien en dire.

Faut-il autoriser aussi le Type 10 en In & OUT ?

Tu n'en as pas vraiment besoin.

Et par hasard connaissez-vous l'URL d'une page détaillant le trafic
(protocole/port) légitime *nécessaire et suffisant* pour un réseau en
Workgroup ? Merci d'avance,

Les RFC 792 (définition originelle de ICMP) et 2401 (voir appendice D)
sont très bien pour comprendre qui peut émettre quel type ICMP.
http://www.faqs.org/rfcs/rfc792.html
http://www.faqs.org/rfcs/rfc2401.html

Ensuite, il faut vraiment regarder point par point quand on a besoin des
autres type ICMP.

--
Julien

Salut,

Dans les logs de mon FW (Outpost), je vois du trafic ICMP et je voudrais
autoriser juste ce qu'il faut. Avant ce réseau (ordi seul derrière
Freebox non routeur), j'avais autorisé seulement:
Type 0 en IN
Type 3 en IN & OUT
Type 8 en OUT
Type 11 en IN

Pour le type 3 en OUT, logiquement comme tu feras forcément de la NAT,
ce serait plutôt au routeur de renvoyer le bon message de type 3. Je
mettrais plutôt le type 3 qu'en entrée.

Et pour les communications sur le réseau local ?
D'ailleurs j'autoriserais aussi le type 0 (echo reply) en sortie et le
type 8 (echo) en entrée. Faut pas avoir peur du ping comme ça ! :-)

Pascal Hambourg a écrit(wrote):

Salut,

Salut,

Pour le type 3 en OUT, logiquement comme tu feras forcément de la NAT,
ce serait plutôt au routeur de renvoyer le bon message de type 3. Je
mettrais plutôt le type 3 qu'en entrée.

Et pour les communications sur le réseau local ?

C'est vrai que pour le réseau local, c'est flux sont à laisser.

D'ailleurs j'autoriserais aussi le type 0 (echo reply) en sortie et le
type 8 (echo) en entrée.

De l'extérieur (non local) ça n'a pas de sens. Sur le réseau local on
peut le laisser...

Faut pas avoir peur du ping comme ça ! :-)

... de toute manière, je ne répond pas en ARP :) je n'ai pas peur du
ping. :)))

--
Julien

Dans le message <news:slrnegd6o9.5n1.Julien.Salgado@chez.moi>,
*Julien Salgado* tapota sur f.c.r.ip :

D'ailleurs j'autoriserais aussi le type 0 (echo reply) en sortie et le
type 8 (echo) en entrée.

De l'extérieur (non local) ça n'a pas de sens.

Je laisse Pascal répondre à cela, car je partage le même point de vue que
lui sur ce sujet sauf qu'il s'exprimera bien mieux. :-)
En attendant, faisons le raisonnement inverse : en quoi interdire cela a un
sens ? N'est-il pas plus judicieux de contrôler et de limiter en conséquen ?

--
Sébastien Monbrun aka TiChou

Sébastien Monbrun aka TiChou a écrit(wrote):

Dans le message <news:slrnegd6o9.5n1.Julien.Salgado@chez.moi>,
*Julien Salgado* tapota sur f.c.r.ip :

D'ailleurs j'autoriserais aussi le type 0 (echo reply) en sortie et le
type 8 (echo) en entrée.

De l'extérieur (non local) ça n'a pas de sens.

Je laisse Pascal répondre à cela, car je partage le même point de vue que
lui sur ce sujet sauf qu'il s'exprimera bien mieux. :-)
En attendant, faisons le raisonnement inverse : en quoi interdire cela a un
sens ? N'est-il pas plus judicieux de contrôler et de limiter en conséquen ?

Sur un réseau privé (aka non routable), un paquet ICMP echo-request ne
devrait pas pouvoir venir de l'extérieur, sauf en cas de DNAT mise en
place sur le routeur/firewall ou de routage explicite du réseau interne
sur un équipement externe. Comme ce ne devrait pas être le cas, on a
aucune raison d'y répondre.

Sur le fait ou non de répondre au ping ou pas, c'est un débat un peu
différent. Mon opinion est que si on offre un service, alors il n'y
aucun raison de ne pas répondre au ping (l'équipement est déjà visible
autrement. Le service pouvant être un service applicatif (serveur web
par exemple) ou un service de routage. C'est vrai que IP n'interdit pas
que des paquets ICMP soient perdus, si la perte est volontaire il faut
que ce soit fait très soigneusement et en connaissance de cause...
En général, beaucoup refuse le ping pour ne pas être vu mais il reste
plein de façons de voir les équipements qui sont cachés (variation du
TTL, différence sur le séquençage des ports, différence sur les
propriétés statistiques des stacks IP, analyse des temps de latence...).
Dans ces cas autant le laisser ouvert :)


--
Julien

D'ailleurs j'autoriserais aussi le type 0 (echo reply) en sortie et le
type 8 (echo) en entrée.

De l'extérieur (non local) ça n'a pas de sens. Sur le réseau local on
peut le laisser...

Dans ce cas il suffit de bloquer au niveau du routeur.

Faut pas avoir peur du ping comme ça ! :-)

... de toute manière, je ne répond pas en ARP :) je n'ai pas peur du
ping. :)))

Pardon ? Quel rapport entre ARP et ping ?

Pascal Hambourg a écrit(wrote):

D'ailleurs j'autoriserais aussi le type 0 (echo reply) en sortie et le
type 8 (echo) en entrée.

De l'extérieur (non local) ça n'a pas de sens. Sur le réseau local on
peut le laisser...

Dans ce cas il suffit de bloquer au niveau du routeur.

Ceintures et bretelles...

Faut pas avoir peur du ping comme ça ! :-)

... de toute manière, je ne répond pas en ARP :) je n'ai pas peur du
ping. :)))

Pardon ? Quel rapport entre ARP et ping ?

Cétait une touche d'humour (je pensais avoir mis des trombines)... je
parlais du cas d'une de mes machines sur laquelle je fait du filtrage
ARP, donc je ne répond pas souvent au ping ICMP:))

--
Julien